Notfallmanagement für Mittelständische Unternehmen: Strategien für mehr Sicherheit und Resilienz

Mittelständische Unternehmen spielen eine entscheidende Rolle in der globalen Wirtschaft, tragen zur Schaffung von Arbeitsplätzen bei und fördern den wirtschaftlichen Wohlstand. Trotz ihrer Bedeutung stehen sie, ähnlich wie Großkonzerne, vor einer Vielzahl von Herausforderungen, darunter auch Notfälle und Krisen, die ihre Existenz bedrohen können. Ein effektives Notfallmanagement ist von entscheidender Bedeutung, um diese Risiken zu minimieren und im Ernstfall angemessen reagieren zu können. Dieser Artikel beleuchtet die Bedeutung des Notfallmanagements für mittelständische Unternehmen, bietet praktische Ratschläge zur Umsetzung und zeigt die Vorteile einer durchdachten Notfallplanung auf.

Die Bedeutung des Notfallmanagements

Notfälle und Krisen können verschiedene Ursachen haben, sei es Naturkatastrophen wie Überschwemmungen oder Erdbeben, technische Störungen, Cyberangriffe oder gesundheitliche Krisen wie die COVID-19-Pandemie. Mittelständische Unternehmen, die oft begrenzte Ressourcen haben, sind besonders anfällig für die Auswirkungen solcher Ereignisse. Ein effektives Notfallmanagement hilft, die Risiken zu minimieren und die Handlungsfähigkeit des Unternehmens in kritischen Situationen zu gewährleisten.

Schritte zur Implementierung eines Notfallmanagements

  1. Risikoanalyse: Eine gründliche Risikoanalyse ist der erste Schritt zur Identifikation potenzieller Gefahren und Schwachstellen im Unternehmen. Dies umfasst die Bewertung interner und externer Risikofaktoren. Es ist wichtig, verschiedene Szenarien zu berücksichtigen, von Naturkatastrophen bis zu IT-Ausfällen, um umfassende Einblicke in die potenziellen Risiken zu erhalten.
  2. Notfallplanung: Basierend auf der Risikoanalyse wird ein umfassender Notfallplan entwickelt. Dieser Plan enthält klare Verantwortlichkeiten und Handlungsanweisungen, sowohl für Mitarbeiter als auch für Führungskräfte. Er beinhaltet eine Strategie zur Bewältigung verschiedener Notfallsituationen.
  3. Kommunikationsrichtlinien: Klare Kommunikationsrichtlinien werden festgelegt, um sicherzustellen, dass alle relevanten Stakeholder, einschließlich Mitarbeiter, Kunden und Partner, angemessen informiert werden. Dies ist entscheidend, um die Zusammenarbeit und das Vertrauen während einer Krise aufrechtzuerhalten.
  4. Ressourcenmanagement:Es wird sichergestellt, dass ausreichende Ressourcen wie Datensicherungen, Backup-Systeme und Notvorräte vorhanden sind, um im Notfall angemessen handeln zu können. Dies umfasst auch Maßnahmen zur Sicherung der IT-Infrastruktur.
  5. Schulung und Übung:Regelmäßige Schulungen und Notfallübungen sind wichtig, um sicherzustellen, dass Mitarbeiter mit den Notfallplänen vertraut sind und im Ernstfall effizient handeln können. Diese Übungen helfen, die Reaktionsfähigkeit zu stärken und Unsicherheiten zu reduzieren.
  6. Regelmäßige Überprüfung: Der Notfallplan sollte regelmäßig überarbeitet und aktualisiert werden, um sicherzustellen, dass er den sich ändernden Bedingungen und Anforderungen gerecht wird. Dies beinhaltet auch die Integration neuer Erkenntnisse aus früheren Notfallsituationen, um kontinuierlich die Effektivität des Notfallmanagements zu verbessern.

Die Vorteile eines Notfallmanagements für mittelständische Unternehmen

Ein gut durchdachtes Notfallmanagement bietet mittelständischen Unternehmen zahlreiche Vorteile:

  1. Kontinuität des Geschäftsbetriebs: Ein effektiver Notfallplan hilft, die Ausfallzeiten zu minimieren und den Geschäftsbetrieb aufrechtzuerhalten.
  2. Reputationsschutz: Schnelles und professionelles Handeln in Krisensituationen schützt das Ansehen Ihres Unternehmens und das Vertrauen Ihrer Kunden.
  3. Kosteneinsparungen: Die Vorbereitung auf Notfälle kann langfristig Kosten reduzieren, indem teure Schäden und Ausfallzeiten vermieden werden.
  4. Sicherheit der Mitarbeiter: Das Notfallmanagement gewährleistet die Sicherheit Ihrer Mitarbeiter und trägt zur Schaffung eines sicheren Arbeitsumfelds bei.

Ein gut durchdachtes Notfallmanagement trägt dazu bei, die Kontinuität des Geschäftsbetriebs sicherzustellen und die Reputation des Unternehmens zu wahren. Unternehmen, die in eine durchdachte Notfallplanung investieren, sind besser gerüstet, um den Herausforderungen und Unsicherheiten der heutigen Geschäftswelt zu begegnen, was ihre Resilienz erhöht. Bleiben Sie informiert über wegweisende Entwicklungen im Notfallmanagement und sichern Sie die Compliance Ihres Unternehmens. IAP unterstützt Sie bei Fragen des Notfallmanagements und führt Notfall-Audits und Schulungen durch.

Mit einem durchdachten Notfallmanagement gewährleisten mittelständische Unternehmen nicht nur die Kontinuität ihres Geschäftsbetriebs, sondern auch die Sicherheit ihrer Mitarbeiter und die Wahrung ihrer Reputation. Der Fokus auf Risikoanalyse, Notfallplanung, klare Kommunikationsrichtlinien, Ressourcenmanagement, Schulungen und regelmäßige Überprüfungen bildet die Grundlage für erfolgreiche Maßnahmen im Ernstfall. Die Vorteile reichen von minimierten Ausfallzeiten, Kosteneinsparungen bis zur Sicherheit der Mitarbeiter und dem Schutz des Unternehmensansehens. Eine kontinuierliche Investition in eine Notfallplanung stärkt die Resilienz von Unternehmen, um den Herausforderungen der Geschäftswelt souverän zu begegnen. Bleiben Sie mit IAP über wegweisende Entwicklungen im Notfallmanagement informiert.

 

Foto: istockphoto/jesadaphorn

/von

Datenschutz im Wandel: Aktuelle DSGVO-Änderungen für mehr Kooperation und Rechtssicherheit

Die Datenschutz-Grundverordnung (DSGVO) erfährt derzeit eine geplante Harmonisierung, die nicht nur für Datenschutzaufsichtsbehörden, sondern auch für Unternehmen weitreichende Auswirkungen haben wird. Diese Neuerungen zielen darauf ab, die Zusammenarbeit zwischen den Behörden zu stärken und die Prozesse effektiver zu gestalten. In diesem Beitrag erfahren Sie mehr über die geplanten Änderungen, wie sie sich auf Ihr Unternehmen auswirken könnten und welche Rolle das Bundesdatenschutzgesetz (BDSG) in Deutschland dabei spielt.

1. Vereinheitlichung der Anforderungen für grenzüberschreitende Beschwerden

Eine der zentralen Konsequenzen der geplanten Harmonisierung liegt in der Vereinheitlichung der Anforderungen für grenzüberschreitende Beschwerden. Künftig sollen Beschwerdeführer das Recht auf Anhörung erhalten, wenn ihre Beschwerden, sei es ganz oder teilweise, abgewiesen werden. Dieser Schritt soll zu einer beschleunigten Abhilfe bei Datenschutzverstößen führen und Unternehmen gleichzeitig mehr Rechtssicherheit bieten.

2. Partizipation betroffener Parteien an Untersuchungen

Ein bedeutender Schritt ist die Einführung des Rechts auf Anhörung für von einer Untersuchung betroffene Parteien wie Verantwortliche und Auftragsverarbeiter. Dies ermöglicht eine aktive Teilnahme in wichtigen Phasen des Verfahrens, was zu einer transparenteren und ausgewogeneren Prozessführung beiträgt. Gleichzeitig sollen die Rechte von Unternehmen in Bezug auf ein faires Verfahren bei der Untersuchung möglicher Verstöße gegen die DSGVO präzisiert werden.

3. Herausforderungen und bekannte Probleme

Leider bleibt festzuhalten, dass die geplante Überprüfung der DSGVO keine Maßnahmen zur Behebung bekannter Probleme wie dem unzureichenden Kohärenzverfahren gemäß Art 63 DSGVO beinhaltet. Die Zusammenarbeit der verschiedenen Datenschutzbehörden hat in den letzten fünf Jahren nicht effektiv genug funktioniert, und es bedarf weiterer Anstrengungen, um diese Herausforderungen anzugehen.

4. Anpassungen am Bundesdatenschutzgesetz in Deutschland

Auch in Deutschland stehen Anpassungen am Bundesdatenschutzgesetz (BDSG) bevor. Im Zuge der Evaluierung und der Umsetzung des Koalitionsvertrags soll das BDSG überarbeitet werden. Dabei liegt der Fokus auf der Stärkung der Zusammenarbeit der Datenschutzaufsichtsbehörden, um eine kohärente und effektive Umsetzung der Datenschutzstandards zu gewährleisten.

5. Bewertung der geplanten Änderungen und ihre Auswirkungen auf Unternehmen

Die geplanten Änderungen in der DSGVO haben zweifellos das Potenzial, den Datenschutz und die Zusammenarbeit der Behörden zu stärken. Die Vereinheitlichung der Anforderungen für grenzüberschreitende Beschwerden verspricht eine schnellere Abhilfe bei Datenschutzverstößen, was für Unternehmen eine verbesserte Rechtssicherheit bedeuten könnte. Die Einführung des Rechts auf Anhörung für betroffene Parteien könnte zu transparenteren und ausgewogeneren Untersuchungsverfahren führen, was im Interesse aller Beteiligten liegt.

Jedoch bleibt eine kritische Perspektive wichtig. Die DSGVO-Überprüfung adressiert zwar einige Probleme, aber nicht alle. Insbesondere das Kohärenzverfahren hat in der Vergangenheit Schwächen gezeigt, und seine unzureichende Umsetzung bedarf dringender Lösungen. Die Herausforderungen in der Zusammenarbeit der Datenschutzbehörden müssen weiterhin angegangen werden, um eine effektive Umsetzung und Durchsetzung der Datenschutzstandards zu gewährleisten.

Für Unternehmen bedeutet dies, dass sie die Entwicklungen aufmerksam verfolgen und ihre Datenschutzmaßnahmen entsprechend anpassen sollten. Die kommenden Anpassungen am BDSG in Deutschland sind dabei ebenfalls von Bedeutung. Die Stärkung der Zusammenarbeit der Datenschutzaufsichtsbehörden auf nationaler Ebene wird die Umsetzung der Datenschutzstandards weiter beeinflussen.

Fazit: Datenschutz im Wandel der DSGVO

Die geplanten Änderungen in der Datenschutz-Grundverordnung (DSGVO) signalisieren einen bedeutenden Schritt in Richtung effektivere Zusammenarbeit und mehr Rechtssicherheit. Insbesondere die Vereinheitlichung der Anforderungen für grenzüberschreitende Beschwerden und die Einführung des Rechts auf Anhörung für betroffene Parteien versprechen eine beschleunigte Abhilfe bei Datenschutzverstößen und transparentere Untersuchungsverfahren.

Trotz dieser positiven Entwicklungen bleiben jedoch einige Herausforderungen bestehen, insbesondere im Hinblick auf das Kohärenzverfahren und die effektive Zusammenarbeit der Datenschutzbehörden. Die DSGVO-Überprüfung hat zwar wichtige Schritte unternommen, um die Compliance zu stärken, doch es bedarf weiterer Anstrengungen, um bekannte Probleme anzugehen.

In Deutschland stehen zudem Anpassungen am Bundesdatenschutzgesetz (BDSG) bevor, wobei die Stärkung der Zusammenarbeit der Datenschutzaufsichtsbehörden im Fokus steht. Unternehmen sollten diese Entwicklungen genau verfolgen und interne Prozesse anpassen, um den neuen Anforderungen gerecht zu werden.

Die Rolle von IAP: Unterstützung und Schulung für Datenschutz-Compliance

Bleiben Sie informiert über diese wegweisenden Entwicklungen im Datenschutz und sichern Sie die Compliance Ihres Unternehmens. IAP bietet Ihnen umfassende Unterstützung, um den neuen Anforderungen gerecht zu werden. Unsere Experten beantworten Ihre Fragen zum Datenschutz, führen Schulungen durch und bieten maßgeschneiderte Lösungen für Ihre Datenschutzanforderungen. Kontaktieren Sie uns, um sicherzustellen, dass Ihr Unternehmen optimal auf die Veränderungen im Datenschutz vorbereitet ist.

 

Foto: istockphoto.com/uniquepixel

/von

Was bedeutet die NIS2-Richtlinie für mein Unternehmen?

Die Network and Information Security Directive (NIS) ist eine EU-Richtlinie, die darauf abzielt, die Cybersicherheit in gesellschaftlich bedeutsamen Sektoren zu stärken. Die aktuelle Version dieser Richtlinie, NIS2, bringt einige wichtige Veränderungen mit sich, die Unternehmen in diesen Sektoren betreffen. In diesem Artikel werden wir einen genaueren Blick darauf werfen, was die NIS2-Richtlinie für Ihr Unternehmen bedeutet und wie Sie sich darauf vorbereiten können.

Verpflichtende Umsetzung ab dem 17. Oktober 2024

Eine der wichtigsten Informationen, die Unternehmen beachten müssen, ist, dass die Umsetzung der geforderten IT-Sicherheitsmaßnahmen gemäß der NIS2-Richtlinie ab dem 17. Oktober 2024 verpflichtend wird. Dies bedeutet, dass Unternehmen, die in den betroffenen Sektoren tätig sind, die erforderlichen Schritte unternehmen müssen, um die Cybersicherheit zu stärken und sicherzustellen, dass ihre wertschöpfenden Prozesse bei IT-Sicherheitsvorfällen und Cyberangriffen weiterhin verfügbar sind.

Start der NIS2 und nationale Umsetzung

Die NIS2-Richtlinie wurde am 16. Januar 2023 offiziell freigegeben. Sie muss bis zum 17. Oktober 2024 von allen EU-Mitgliedsstaaten in nationales Recht übertragen werden. Dies bedeutet, dass jedes Land in der EU die Richtlinie in seine Gesetzgebung aufnehmen und die darin enthaltenen Anforderungen umsetzen muss.

In Deutschland gibt es bereits einen Entwurf für die Umsetzung der NIS2-Richtlinie, der über die NIS2-Anforderungen hinausgeht. Die Anforderungen aus der NIS1 von 2016 werden durch das IT-Sicherheitsgesetz 2.0 und das KRITIS-Gesetz 2.0 erweitert.

Betroffene Unternehmen und Sektoren

Die NIS2-Richtlinie gilt grundsätzlich für Unternehmen mit mindestens 50 Mitarbeitenden oder einem Jahresumsatz von mindestens 10 Millionen Euro, die in gesellschaftlich relevanten und kritischen Sektoren tätig sind. Diese Sektoren sind in Anhang I & II der NIS2-Richtlinie aufgeführt und umfassen folgende Bereiche:

  • Energie mit Elektrizität, Erdöl, Erdgas, Wasserstoff, Fernwärme und -kälte
  • Verkehr mit Straßenverkehr, Schienenverkehr, Luftverkehr, Schifffahrt
  • Bankwesen
  • Finanzmarktinfrastrukturen
  • Gesundheitswesen
  • Trinkwasser
  • Abwasser
  • Digitale Infrastruktur
  • Verwaltung IKT-Dienste
  • Öffentliche Verwaltung: Behörden und Ämter auf nationaler und regionaler Ebene
  • Weltraum: Betreiber von Bodeninfrastrukturen
  • Post- und Kurierdienste
  • Abfallbewirtschaftung
  • Produktion, Herstellung und Handel mit chemischen Stoffen
  • Produktion, Verarbeitung und Vertrieb von Lebensmitteln
  • Verarbeitendes Gewerbe/Herstellung von Medizinprodukten, Diagnostika, Datenverarbeitungsgeräten, elektronische und optische Erzeugnisse, elektrischen Ausrüstungen, Maschinenbau, Kraftwagen und Kraftwagenteilen sowie sonstiger Fahrzeugbau
  • Anbieter digitaler Dienste
  • Forschung

(siehe hierzu https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32022L2555&qid=1687268912734#d1e32-143-1)

Anforderungen an Unternehmen

Die Umsetzung der NIS2-Sicherheitsanforderungen auf Basis eines Risikomanagements mit Betrachtung der Wahrscheinlichkeit und Auswirkung muss nachgewiesen werden. Das bedeutet, dass Unternehmen geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen ergreifen müssen, um die Risiken für die Sicherheit ihrer Netz- und Informationssysteme vollständig zu beherrschen und die Auswirkungen von Sicherheitsvorfällen abzuwenden und so gering wie möglich zu halten.

Alle Sicherheitsmaßnahmen müssen sich dabei am Stand der Technik und der aktuellen individuellen Gefährdungslage orientieren. Die Schutzmaßnahmen müssen somit gefahrenübergreifend die gesamte IT und Cybersicherheit berücksichtigen, um alle Arten von IT-Vorfällen in der eigenen Umgebung zu kontrollieren und die Verfügbarkeit wesentlicher Dienstleistungsprozesse sicherzustellen. Die Wirksamkeit dieser Sicherheitsmaßnahmen muss regelmäßig geprüft und bewertet werden.

Die Sicherheitsanforderungen bedingen Maßnahmen vor, während und nach einem IT-Sicherheitsvorfall, einschließlich grundlegender Praktiken der Cyberhygiene.

Ein besonderes Augenmerk liegt auf der Absicherung der Lieferkette, einschließlich Partnerunternehmen, Lieferanten, Dienstanbietern und Kunden, insbesondere deren Netzzugänge.

Unternehmen müssen sich bei der zuständigen Behörde registrieren und Kontaktdaten hinterlegen. Sicherheitsvorfälle, die zu schweren Betriebsstörungen führen, sind meldepflichtig.

Die betroffenen Sektoren unterliegen behördlicher Aufsicht, was bedeutet, dass externe Kontrollen und Prüfungen regelmäßig und ad-hoc durchgeführt werden. Für wesentliche Einrichtungen gilt zusätzlich die EU RCE-Richtlinie zur Ausfallsicherheit.

Die Erfüllung dieser Anforderungen ist entscheidend, um die Cybersicherheit zu stärken und die Risiken von Cyberangriffen zu minimieren. Unternehmen sollten sich daher intensiv mit den NIS2-Sicherheitsanforderungen auseinandersetzen und sich rechtzeitig darauf vorbereiten, um die Verfügbarkeit ihrer Dienstleistungsprozesse sicherzustellen. (siehe hierzu https://eur-lex.europa.eu/eli/dir/2022/2557/oj)

Fazit: Vorbereitung auf die NIS2-Richtlinie

Die NIS2-Richtlinie ist ein bedeutender Schritt zur Stärkung der Cybersicherheit in der EU. Unternehmen in den betroffenen Sektoren sollten die verbleibende Zeit nutzen, um sich auf die Umsetzung der erforderlichen Sicherheitsmaßnahmen vorzubereiten. Dies ist entscheidend, um die Verfügbarkeit kritischer Dienstleistungen zu gewährleisten und die Risiken von Cyberangriffen zu minimieren. Stellen Sie sicher, dass Ihr Unternehmen die Vorschriften der NIS2-Richtlinie erfüllt, um sicher und geschützt in die digitale Zukunft zu gehen.

Wir empfehlen die Anforderungen mit unserem iAP-IKS umzusetzen. Dies schließt das Management der externen Dienstleister im Bereich Sicherheitsmanagement mit ein. Gemeinsam mit Ihnen bauen wir ein umfassendes Risikomanagement über alle Unternehmensbereiche auf.

 

Weitere Informationen:

RICHTLINIE (EU) 2022/2555 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 (NIS-2-Richtlinie)

 

Bild: istockphoto.com/BirgitKorber

/von

SOC 1, SOC 2 oder SOC 3 – welcher Compliance-Standard passt für Sie?

Viele Dienstleister – vor allem Rechenzentrumbetreiber, Cloud Provider und IT-Service Provider aller Art möchten sicherstellen und auch ihren Mandanten nachweisen, dass sie effektive Kontrollen und Sicherheitsmaßnahmen für die Erbringung ihrer Dienstleistungen installiert haben.   

Auf der anderen Seite suchen die Kunden von Dienstleistungsunternehmen den richtigen Partner für die Auslagerung von Geschäftsprozessen. Dabei spielt es eine immer wichtigere Rolle, wie effektiv und verlässlich die internen Kontrollen zur Gewährleistung einer hochverfügbaren und sicheren Datenverarbeitung der Dienstleister sind.   

Die Erfüllung mancher gesetzlichen Anforderungen (z.B. bei den Jahresabschlussprüfungen) wird durch die Auslagerung von Dienstleistungen oftmals mit auf den Dienstleister übertragen, z.B. wenn die Verarbeitung von rechnungslegungsrelevanten Daten outgesourct wird. Die „Verantwortung“ gegenüber dem Gesetzgeber bleibt dabei aber immer beim Unternehmen, das die Dienstleistung auslagert. 

Seit einiger Zeit ist auf dem Markt eine zunehmende Nachfrage nach so genannten SOC-Reports bzw. -Zertifizierungen als Nachweis über das Kontrollsystem des Dienstleisters zu beobachten.
Was bringt ein SOC-Report bzw. eine SOC-Zertifizierung? Was ist der Unterschied zwischen SOC 1, SOC 2 und SOC 3 und daraus resultierend, welcher SOC-Report ist für wen sinnvoll? 

SOC steht für engl. „System and Organization Controls“ und stellt in den Varianten SOC 1, SOC 2 und SOC 3 Prüfungs- und Berichtsstandards des AICPA dar („American Institute of Certified Public Accountants“, zu deutsch „Amerikanisches Institut für Wirtschaftsprüfer“). SOC-Berichte richten sich an Unternehmen, die die Verlässlichkeit ihrer Dienstleistungen sowie die Sicherheit der für den Kunden verarbeiteten Daten durch eine Wirtschaftsprüfer-Testat nachweisen wollen. 

SOC 1® — Interne Kontrolle der Finanzberichterstattung (ICFR)

Der SOC 1 Standard wurde speziell für die Überprüfung derjenigen Kontrollen bei den Dienstleistern konzipiert, die für die Finanzberichterstattung des Dienstleistungsnehmers relevant sind. Die Auditoren bzw. Wirtschaftsprüfer des Dienstleistungsnehmers nehmen im Rahmen der Prüfung für einen SOC 1-Bericht i.d.R. eine Risikobewertung vor und erstellen mit dem SOC 1-Bericht einen Prüfungsnachweis über die Kontrollen des Dienstleisters.  

Für den SOC 1 Bericht gibt es zwei Berichts-Typen: 

Typ 1

Bericht über die Eignung des Aufbaus und der Angemessenheit der Kontrollen im Hinblick auf die Erreichung der entsprechenden Kontrollziele zu einem bestimmten Zeitpunkt 

Typ 2

Bericht über die Wirksamkeit der Kontrollen im Hinblick auf die Erreichung der entsprechenden Kontrollziele während eines bestimmten Zeitraums (üblicherweise 6 Monate oder 1 Jahr). 

SOC 2® – Trust Services Criteria

Der SOC 2-Bericht wurde konzipiert für die Überprüfung der Kontrollen bzgl. Sicherheit (security), Verfügbarkeit (availability), Integrität (processing integrity) der Systeme, die der Dienstleister für die Verarbeitung der Daten der Dienstleistungsnehmer verwendet, sowie der Kontrollen zu Datenschutz und Vertraulichkeit (privacy of the information) der verarbeiteten Daten. 

Die Dienstleister für die ausgelagerten Dienstleistungen agieren dabei praktisch als „Lieferanten“ für ihre Kunden. Die SOC 2-Berichte dienen dazu, zum Risikomanagement des Dienstleistungsnehmers eine adäquate und mit einem angemessenen Detaillierungsgrad versehene Bewertung unter Berücksichtigung des SOC 2 Standards abzugeben. Die Berichte setzen ein angemessenes Maß an Fachkenntnissen und Wissen über die Abläufe, sowie die Art und Weise voraus, wie die Dienstleistungen hergestellt und angeboten werden. Daher ist Anwenderkreis für den SOC 2-Bericht eingeschränkt auf das Management des Dienstleistungsunternehmens, den Dienstleistungsnehmer und seine Wirtschaftsprüfer, aktuelle und potenzielle Geschäftspartner und Revisoren. 

Die zu überprüfenden Kontrollen bei SOC 2- und SOC 3-Berichten werden gegen die so genannten Trust Services Criteria for Security, Availability, Processing Integrity, Confidentiality, and Privacy geprüft. 

SOC 2- Berichte können ebenfalls als Typ 1 (Angemessenheit der Kontrollen) oder Typ 2 (Wirksamkeit der Kontrollen über einen bestimmten Zeitraum) erstellt werden. 

SOC 3® – Trust Services Criteria zur allgemeinen Verwendung

Genauso wie bei einem SOC 2-Bericht bezieht sich auch ein SOC 3-Bericht auf die Kontrollen bzgl. Sicherheit, Verfügbarkeit, Integrität sowie Datenschutz/Vertraulichkeit. Die SOC 3-Berichte unterliegen den gleichen Prüfkriterien wie SOC 2-Berichte. Es gibt allerdings einige Unterschiede zwischen SOC 2 und SOC 3: Zum einen sind die SOC 2-Berichte vertraulich und werden nur bestimmten Kunden zur Verfügung gestellt. Die SOC 3-Berichte sind hingegen für die Öffentlichkeit gedacht und stehen in der Regel als Marketing-Instrument auf der Webseite der Unternehmen (der Dienstleister).  

SOC 3-Berichte beinhalten im Gegensatz zu SOC 2-Berichten keine detaillierten Informationen über die internen Prozesse oder Kontrollen des Unternehmens sowie die exakte Art und Weise, wie die Kontrollen getestet wurden oder was das Ergebnis der jeweiligen Tests und Prüfungen im Detail war. Der Bericht ist wesentlich kürzer gefasst und wird i.d.R. in Form eines Whitepapers bereitgestellt. Ein weiterer Unterschied ist, dass ein SOC 3-Bericht nur für einen Berichtszeitraum, also als Typ 2-Bericht erstellt wird. 

Fazit

Wenn rechnungslegungsrelevante bzw. finanzkritische Daten und Verarbeitungsprozesse ausgelagert werden, sollten Unternehmen bei ihren künftigen Dienstleistern nach einem SOC 1-Bericht fragen, z.B. wenn Unternehmen ihre E-Commerce-Aktivitäten auslagern möchten. 

Wenn ein Unternehmen, z.B. die Verarbeitung seiner sensiblen Kundendaten an einen externen Dienstleister auslagern möchte (Cloud/RZ), kommt für den betreffenden IT-Dienstleister der SOC 2-Bericht in Frage. Der Dienstleistungsnehmer möchte mit seiner Anfrage nach einem solchen Bericht sicherstellen, dass der Dienstleister wirksame Mechanismen (Kontrollen) installiert hat, die die Daten seiner Kunden vor fremdem Zugriff schützen und die Hochverfügbarkeit der IT-Umgebung des Dienstleisters sicherstellen. 

Nach einem SOC 3-Bericht fragen die Kunden der Dienstleister i.d.R. nicht. Die Dienstleister stellen den SOC 3-Bericht der Öffentlichkeit selbst zur Verfügung und transportieren damit eine zertifizierte Sicherheit ihrer Dienstleistungen, ohne zu viele Details kommunizieren zu müssen. 

/von

KI – Eine Bedrohung für den Datenschutz? 

KI – „Künstliche Intelligenz“ ist die Bezeichnung für die Fähigkeit von Maschinen, mit Hilfe von Algorithmen Aufgaben selbständig zu lösen und in der Lage zu sein, flexibel auf sich ändernde Situationen zu reagieren. Sie kann aus der Lösung der Aufgaben lernen und ihr Verhalten anpassen. Somit kann sie menschliche Fähigkeiten wie logisches Denken, Planen, Lernen und Kreativität nachahmen.

KI lässt sich hinsichtlich ihrer Anwendung in verschiedene Teilbereiche unterteilen:

  • Natural Language Processing (NLP): Große Sprachmodelle wie ChatGPT
  • Künstliche neuronale Netz: Virtuelle Assistenten und Chatbots, wie Siri, Alexa oder Google Assistant
  • Maschine Learning: Empfehlungsdienste
  • Deep Learning: Betrugserkennung, wie BIG Data Auswertungen
  • Wissensrepräsentation: Content-Moderation, genutzt z.B. zur Auswertung medizinischer Daten

Was ist im Rahmen des Datenschutzes zu beachten?

Das Unternehmen, das ein KI-basiertes System in eigene Prozesse integriert, wird in der Regel als “verantwortlich” einzustufen sein, denn es entscheidet über Zweck und Mittel der Datenverarbeitung.
Der KI-System-Anbieter erfüllt die Rolle des Auftragsverarbeiters, da die Datenverarbeitung zumeist auf seinen Servern erfolgt. Die Daten werden im Auftrag und auf Weisung des Unternehmens, welches das System einsetzt, verarbeitet. Hier ist ein Auftragsverarbeitungsvertrag abzuschließen. Dieser ist inhaltlich auf seine Vollständigkeit zu prüfen.

Viele KI-Anbieter nutzen die erhobenen Daten ebenfalls für die Weiterentwicklung ihrer KI-Modelle, hierfür ist das Einverständnis des Auftraggebers notwendig. Unternehmen sollten diese Zustimmung nicht erteilen bzw. von einer etwaigen Opt-out-Möglichkeit Gebrauch machen und somit ihre Betroffenenrechte schützen.

Die Datenverarbeitung mittels KI kann nur auf der Rechtsgrundlage der Einwilligung der betroffenen Person gemäß DSGVO Artikel 6 (1)a erfolgen. Betroffene müssen gem. Art 13 DSGVO über die Verarbeitung ihrer Daten informiert werden und haben gem. Art. 22 DSGVO das Recht der freien Entscheidung, einer automatisierter Verarbeitung zuzustimmen oder diese abzulehnen.

Das Unternehmen hat außerdem geeignete Prozesse für die Umsetzung der Betroffenenrechte zu etablieren. Die Umsetzung der Betroffenenrechte im Rahmen von Löschung und Berichtigung dürfte schwierig umzusetzen sein, da damit das Modell beeinträchtig werden kann. In jedem Fall besteht die Pflicht zur DSFA (Datenschutzfolgenabschätzung), die durch die Blacklist der deutschen Datenschutzkonferenz festgelegt ist.

Aktueller Rechtsrahmen

Neben der EU DSGVO ist ein EU-Gesetz mit Pioniercharakter in der Entwicklung (EU AI Act). Mit dieser KI-Verordnung will die EU erstmals einen gesetzlichen Rahmen für die Entwicklung und Nutzung von KI schaffen.

Die Entscheidungsvorlage sieht vor, die KI nach den Risiken ihrer Anwendungszwecke zu klassifizieren. Dabei geht es um die Einstufung in

  • risikoarme KI,
  • begrenzt riskante KI,
  • zu riskante KI und
  • verbotene KI.

KI, die imstande ist, Menschen zu unterdrücken, soll ganz verbannt werden. Darunter fallen unter anderem

  • “Social Scoring”-Systeme, die das Verhalten von Menschen bewerten,
  • die automatisierte Erkennung von Emotionen, etwa bei der Vernehmung von Verdächtigen und
  • eine flächendeckende Überwachung mit biometrischen Echtzeitdaten in der Öffentlichkeit.

Auf Grund eines aktuellen richterlichen Beschlusses darf nachträglich auf Daten zugegriffen werden, falls es um schwere Straftaten geht.
Risikoarme Anwendungszwecken, wie z.B. KI-betriebene Spielzeuge, sollen grundsätzlich erlaubt sein. Das gilt auch für sogenannte generative KI, wie den Chatbot ChatGPT, der mithilfe im Internet gesammelter Informationen eigenständig Artikel verfassen kann.

Gefahren durch KI-gestützte Cyber-Attacken

Hacker sind in der Lage, ihre Angriffe durch die Nutzung von KI zu personalisieren und zu optimieren. Damit erhöhen sie die Wahrscheinlichkeit, dass Nutzer auf Phishing-Mails hereinfallen oder dass sie mittels Ransomware in das Unternehmens IT- Netzwerk eindringen können.

Ein aktuelles IKS-System schützt jedes Unternehmen vor weitreichenden Folgen eines Cyber-Angriffs. Ein Basissockel stellt dabei die Schulung und Sensibilisierung der Mitarbeiter, die Aktualität der Sicherheitssysteme, Notfallpläne und Datensicherung dar.

Fazit

KI-gestützte Cyber-Attacken sind eine ernste Bedrohung für Unternehmen und Einzelpersonen. Unter Einhaltung aller datenschutzrechtlichen Anforderungen bietet Künstliche Intelligenz aber auch zahlreiche Vorteile und Möglichkeiten, die unser Leben, unsere Gesellschaft und unsere Geschäftswelt beeinflussen. Die Technologie kann uns dabei helfen, komplexe Probleme schneller und effizienter zu lösen. Sie reduziert Fehler, automatisiert sich wiederholende Aufgaben, unterstützt bei wichtigen Business-Entscheidungen und sorgt für Entlastung, so dass Sie Zeit haben, sich um die wirklich wichtigen Dinge zu kümmern.

Als externe Datenschutzbeauftragte unterstützt iAP Ihr Unternehmen bei der Umsetzung der DSGVO und berät Sie zu datenschutzrechtlichen Themen.

 

Foto: istockphoto.com/ipopba

/von

Schutz für Whistleblower! Das Hinweisgeberschutzgesetz (HinSchG) in Kraft getreten

Das Hinweisgeberschutzgesetz (HinSchG) als nationales Gesetz zur EU-Whistleblower-Richtlinie ist am 2. Juli 2023 in Kraft getreten. Institutionen mit mehr als 250 Beschäftigten müssen die Anforderungen bis dahin umsetzen. Sind ensprechende Kanäle nicht eingerichtet, werden ab 1. Dezember 2023 Bußgelder von bis zu 50.000 € möglich. Das neue Hinweisgeberschutzgesetz (HinSchG) wird begleitet von notwendigen Anpassungen bestehender gesetzlicher Regelungen.

Das Ziel des Gesetzes ist der Schutz der hinweisgebenden Personen und weiterer von einer Meldung betroffenen Personen zu stärken und abzusichern, dass ihnen keine Benachteiligung droht. Die Voraussetzungen für den Schutz der hinweisenden Person sind den §§ 35 ff HinSchG abgebildet. Der Schutz besteht allerdings nicht, wenn vorsätzlich oder grob fahrlässig unrichtige Informationen weitergegeben.

Welche Verstöße gegen geltende Vorschriften und Rechtsnormen umfasst das HinSchG? 

  • Arbeitsschutz
  • Gesundheitsschutz
  • Mindestlohngesetz
  • Arbeitnehmerüberlassungsgesetz
  • Betriebsverfassungsgesetz
  • Regelungen zur Bekämpfung der Geldwäsche
  • Produktsicherheitsvorgaben
  • Vorgaben Gefahrgutbeförderung
  • Vorgaben zu Umwelt- und Strahlenschutz
  • Standards zu Arzneimittel und Medizinprodukten
  • Verbraucherschutz
  • Datenschutz
  • Informationssicherheit
  • Vergaberecht
  • GoBD Regelungen

sowie jegliche Verstöße gegen Strafvorschriften des deutschen Rechts. 

Wer ist zur Umsetzung des HinSchG verpflichtet?

Der Gesetzgeber möchte ein weitreichendes und einheitliches Schutzniveau erreichen und hat daher den Umfang der Unternehmen weit ausgedehnt. Diese sind:

  • juristische Personen des Privatrechts wie der eingetragene Verein, die eingetragene Genossenschaft, die Aktiengesellschaft, die Kommanditgesellschaft auf Aktien, die Gesellschaft mit beschränkter Haftung und Stiftungen des Privatrechts,
  • juristischen Personen des öffentlichen Rechts, insbesondere Gebietskörperschaften, Personalkörperschaften sowie Verbandskörperschaften auf Bundes- und Landesebene,
  • rechtsfähige Personengesellschaften und sonstige rechtsfähige Personenvereinigungen,
  • Anstalten, wie die Landesrundfunkanstalten,
  • öffentlich-rechtliche Stiftungen,
  • die evangelische und katholische Kirche mit ihren Kirchengemeinden,
  • sonstige gemäß Artikel 140 GG, Artikel 137 Absatz 5 der Weimarer Reichsverfassung als Körperschaften des öffentlichen Rechts oder nach entsprechenden Bestimmungen des Landesrechts anerkannte oder als Vereine des BGB konstituierte Kirchen und   sonstige Religionsgemeinschaften.

Wo kann die hinweisgebende Person seine Meldung platzieren?

Die hinweisgebende Person kann frei wählen, ob sie sich an eine „interne Meldestelle“ des Unternehmens oder an eine „externe Meldestelle“ der Behörden wendet.

Im Referentenentwurf des HinSchG sind verpflichtende Regelungen für die Bereitstellung einer internen Meldestelle festgelegt:

  • für Beschäftigungsgeber mit mehr als 250 Mitarbeiter sofort nach Inkrafttreten des Gesetzes,
  • für Beschäftigungsgeber mit mehr als 50 Mitarbeiter (und bis 249 Mitarbeiter) ab dem 17.12.2023. Diese können gemäß § 14 Abs. 2 HinSchG eine „gemeinsame Meldestelle“ betreiben oder auch einem „Dritten“ mit der Aufgabe betreuen (§ 15 HinSchG). Zu beachten ist das der sog. „Dritte“ bei der Ausübung der Tätigkeit unabhängig ist und das Vertraulichkeitsgebot beachtet.
  • für Gemeinden und Gemeindeverbände richtet sich die Pflicht zur Einrichtung interner Meldestellen nach dem jeweiligen Landesrecht, da dem Bund insoweit infolge des
    „Durchgriffsverbots“ eine unmittelbare Aufgabenübertragung an Gemeinden und Gemeindeverbände verwehrt ist. Im jeweiligen Landesrecht kann vorgesehen werden, dass Gemeinden und Gemeindeverbände mit weniger als 10 000 Einwohnern von der Pflicht zur Einrichtung interner Meldestellen ausgenommen werden. Hier werden also zeitnah noch Landesgesetze der Bundesländer zu erlassen sein.

Wie kann die hinweisgebende Person ihre Meldung abgeben?

Meldekanäle für mündliche oder schriftliche Meldungen sind wie folgt zu gestalten:

  • Einrichtung einer telefonischen Hotline,
  • Einrichtung eines IT-gestützten Hinweisgebertools,
  • Persönliche / physische Zusammenkunft, bei anonymen Hinweisen eher schwierig umzusetzen.
    In dem bisher vorliegenden Gesetzesentwurf ist keine Verpflichtung enthalten, dass Meldekanäle anonyme Meldungen ermöglichen müssen.

Die Umsetzung der neuen gesetzlichen Regelungen ist verpflichtend, da sonst eine Schadensersatzforderung oder auch Bußgeldforderung auf Grund einer Ordnungswidrigkeit entstehen kann.

Die deutschen Datenschutzbehörden haben als Umsetzungshilfe eine Orientierungshilfe veröffentlicht. „Orientierungshilfe der Datenschutzaufsichtsbehörden zu Whistleblowing-Hotlines: Firmeninterne Warnsysteme und Beschäftigtendatenschutz“ (Stand 2018) Da die Meldung von Verstößen ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen beinhaltet, bedarf es im Einzelfall einer Datenschutz-Folgenabschätzung. 

Das ein umfangreiches Beschwerdemanagement in jedem Unternehmen etabliert sein sollte, unterstreicht auch das bereits gültige Lieferkettensorgfaltspflichtengesetz(LkSG) § 8. Dieses definiert entsprechend der Unternehmensgröße eine verpflichtende Umsetzung im Rahmen eines Beschwerdeverfahrens.

Prüfen Sie schon jetzt, wie Sie in Ihrem Unternehmen das deutsche Hinweisgeberschutzgesetz umsetzen oder in Ihr bestehendes Beschwerdemanagement integrieren können. Bei Suche nach einer IT-gestützten Lösung unterstützen wir Sie kompetent und unabhängig.

 

Bild: istockphoto/oxinoxi

/von

Einheitliche Regelungen für Bußgelder im europäischen Datenschutz 

Der Europäische Datenschutzausschuss (EDSA) beschloss in seiner Sitzung am 24. Mai 2023 die endgültigen Leitlinien zur Bußgeldzumessung bei Datenschutzverstößen.

Die EDSA mit seinen Repräsentantinnen aus den verschiedenen EU-Ländern einigten sich auf einheitliche Maßstäbe in der Bußgeldpraxis.

Die europäischen Aufsichtsbehörden sind berechtigt Bußgelder bei Verstößen gegen die Datenschutz-Grundverordnung (DSGVO) zu erlassen. Diese können bis zu 20 Millionen Euro oder bis zu 4 % des weltweiten Jahresumsatzes von Unternehmen betragen. Die europaweit harmonisierten Leitlinien sehen hier ein aus fünf Schritten bestehendes Zumessungsverfahren vor, das spezifisch die Art und Schwere der Datenschutzverstöße sowie den Umsatz der betreffenden Unternehmen berücksichtigt. Damit sind klare Regelungen für die Höhe der Geldbußen gegeben und das trägt zu einem nachvollziehbaren Handeln der Behörden bei.

Die Vereinheitlichung der Bußgeld-Leitlinien in unterschiedlichen europäischen Mitgliedstaaten ist ein wichtiger Schritt in der europäischen Integration und können Vorbild sein für die Durchsetzung anderer EU-Gesetze.

Die Leitlinien finden Sie auf der Internetseite der EDSA.

Haben Sie Fragen in Sachen Datenschutz? Sie sind auf der Suche nach einem externen Datenschutzbeauftragten? In beiden Fällen können wir Ihnen helfen!
Schreiben Sie uns gern eine Mail mit Ihrem Anliegen.

/von

Cloud Security nach BSI C5 – Was bringt ein C5-Testat?

Die zunehmende Größe und Komplexität des Marktes für Cloud-Lösungen stellt Kunden vor die Frage, welcher Anbieter bzw. welche Cloudlösung die eigenen Anforderungen zur Informationssicherheit am besten abdeckt. Mit der Einführung des BSI C5-Standards hat das BSI einen anspruchsvollen Sicherheitsstandard für Cloud-Dienstleistungen geschaffen, der dieses Problem adressiert. Mit einem auf dem BSI C5-Standard basierenden BSI C5-Testat und dem zugrundeliegenden Prüfbericht können Cloudanbieter ihren Kunden die Sicherheit ihrer Clouddienste transparent darstellen und nachweisen.

Was ist BSI C5?

Die Abkürzung C5 steht für die 5 Anfangsbuchstaben des Cloud Computing Compliance Criteria Catalogue des BSI (kurz: BSI C5). Der  ist ein Katalog, der Mindestanforderungen (Kriterien) zur Informationssicherheit eines Cloud-Dienstes beschreibt und ist in Europa der führende Standard für Informationssicherheit im Cloud Computing.

Die darin definierten Mindestanforderungen können von Clouddienst-Anbietern als Orientierung genutzt werden, um die richtigen Maßnahmen zur Gewährleistung der Informationssicherheit der angebotenen Cloudlösungen zu implementieren. Darüber dient der C5-Kriterienkatalog auch als Grundlage für eine standardisierte Prüfung durch externe Auditoren. Mit einem C5 Testat und dem Ergebnisbericht können Clouddienst-Anbieter ihren Kunden die Einhaltung der im C5-Katalog enthaltenen Kriterien zur Informationssicherheit belegen.

Wer hat BSI C5 entwickelt?

Der C5-Katalog wurde von der staatlichen Behörde Bundesamt für Sicherheit in der Informationstechnik (BSI) im Jahr 2016 entwickelt. Das BSI ist eine deutsche Bundesoberbehörde, die zum Geschäftsbereich des Bundesministeriums des Innern und für Heimat mit Sitz in Bonn gehört, und für alle Themen rund um Informationssicherheit und Cybersecurity zuständig ist. Seit der Erstveröffentlichung wurde der BSI C5-Katalog weiterentwickelt und die überarbeitete zweite Fassung im Jahr 2020 veröffentlicht (C5: 2020).

Was ist der konkrete Nutzen von BSI C5?

Der Nutzen des C5-Katalogs resultiert maßgeblich aus dessen Testierfähigkeit. Mit einem C5-Testat können Anbieter von Clouddienstleistungen ihren Kunden transparent nachweisen, dass die im C5 definierten Kriterien zur Informationssicherheit eingehalten werden.

Der Nutzen einer C5-Testierung liegt in zwei grundlegenden Bereichen:

  1. Differenzierung und Wettbewerbsvorteil im Markt für Clouddienstleistungen
    Ob SaaS, PaaS oder IaaS – im stetig wachsenden Markt für Clouddienstleistungen aller Art mit einer weiter zunehmenden Zahl an international agierenden Anbietern ist es schwer, sich von der Konkurrenz abzuheben und den eigenen Mehrwert herauszustellen. Mit einem C5-Testat können sich Clouddienst-Anbieter jedoch wirkungsvoll im Wettbewerb profilieren, denn der Standard ist international bekannt, die zugrundliegende Thematik der Informationssicherheit maßgeblich entscheidungsrelevant für Kunden, und die Einhaltung der C5-Kriterien durchaus anspruchsvoll.
    Darüber hinaus kann ein Clouddienst-Anbieter mit einer einmaligen Prüfung und Testierung einer Vielzahl von Kunden und Interessenten die Einhaltung der C5-Kriterien nachweisen. Damit wird vermieden, dass jeder Kunde oder Interessent individuell Auskünfte beim Anbieter einholen, oder eigene Auditoren mit der Prüfung der Sicherheit seiner Daten beim Clouddienstleister beauftragen muss.
    Ein weitere wichtiger Punkt ist die Tatsache, dass im öffentlichen Sektor bzw. von Bundesbehörden Aufträge, bei denen Clouddienstleistungen erforderlich sind, nur unter der Voraussetzung vergeben werden, dass vom Bieter ein aktuelles C5-Testat vorgelegt wird, welches die Erfüllung der C5-Kriterien nachweist.
  2. Orientierungshilfe für Kunden bei der Auswahl von Clouddienstleistern und Clouddiensten
    Die Größe und Komplexität des Markts für Clouddienstleistungen ist aber nicht nur für die Anbieter eine Herausforderung, sondern insbesondere für Kunden ist es nicht einfach festzustellen, welcher Anbieter und welches Produkt die eigenen Anforderungen zur Informationssicherheit abdeckt. Mit der Vorlage eines C5-Testats und des dazu gehörenden Prüfberichts kann ein Clouddienst-Anbieter den potenziellen Kunden helfen, hierbei die richtige Entscheidung zu treffen.

Was ist der Unterschied zwischen BSI C5 und DIN ISO 27001?

Eine C5-Testierung orientiert sich methodisch am Vorgehen in der Wirtschaftsprüfung, bei der unter Einhaltung der vorgegebenen Prüfungsstandards initial die Angemessenheit der Kontrollen des internen Kontrollsystems (IKS) mit Einhaltung der zugrunde liegenden Anforderungen (C5-Kriterien), und dann in regelmäßigen Abständen (z.B. alle 6 Monate oder jährlich) deren Wirksamkeit über die gesamte Berichtsperiode geprüft, und von einem Wirtschaftsprüfer bescheinigt wird.

Eine Zertifizierung nach ISO 27001 hingegen weist zu einem bestimmten Zeitpunkt und (unter Berücksichtigung der jährlichen Überwachungsaudits) danach alle 3 Jahre das Vorhandensein eines Informationssicherheits-Managementsystems (ISMS) mit Abdeckung der Normanforderungen nach, berücksichtigt aber nicht den Nachweis für die dauerhafte Wirksamkeit der implementierten Kontrollen. Das ISO-Zertifikat wird dabei von einer für ISO 27001 akkreditierten Zertifizierungsstelle und nicht von einem Wirtschaftsprüfer ausgestellt.

Für wen kommt eine BSI C5-Testierung in Frage?

Eine Testierung nach dem C5-Katalog kommt grundsätzlich für alle Anbieter in Frage, die ihren Kunden eine Cloud-Dienstleistung anbieten. Dies umfasst z.B. auch Cloud-Lösungen, die aus den Leistungen von Unterauftragnehmer des Cloud-Dienstleister zusammengesetzt sind oder nicht im eigenen Rechenzentrum betrieben werden.

  • SaaS (z.B. ERP-Systeme, Finanz-Dienstleistungen, CRM-Lösungen, Collaboration-Lösungen, Design & Visualization, etc.) 
  • PaaS (Entwicklungsplattformen) 
  • IaaS (virtualisierte Computing-Ressourcen, Netzwerke, Speicherlösungen) 

Interessant ist eine C5-Testierung insbesondere für Cloudanbieter, die ihre Leistungen für eine Vielzahl von Kunden anbieten und bereits einen Großteil der C5-Kriterien erfüllen, oder mit absehbarem zeitlichem Aufwand erfüllen können. 

Was beinhaltet BSI C5?

Der Kriterienkatalog C5: 2020 beinhaltet neben den Anforderungen der allgemeinen Rahmenbedingungen 125 Kriterien, die sich auf 17 Themengebiete aufteilen:

1 Organisation der Informationssicherheit (OIS)
2 Sicherheitsrichtlinien und Arbeitsanweisungen (SP)
3 Personal (HR)
4 Asset Management (AM)
5 Physische Sicherheit (PS)
6 Regelbetrieb (OPS)
7 Identitäts- und Berechtigungsmanagement (IDM)
8 Kryptographie und Schlüsselmanagement (CRY)
9 Kommunikationssicherheit (COS)
10 Portabilität und Interoperabilität (PI)
11 Beschaffung, Entwicklung und Änderung von Informationssystemen (DEV)
12 Steuerung und Überwachung von Dienstleistern und Lieferanten (SSO)
13 Umgang mit Sicherheitsvorfällen (SIM)
14 Kontinuität des Geschäftsbetriebs und Notfallmanagement (BCM)
15 Compliance (COM)
16 Umgang mit Ermittlungsanfragen staatlicher Stellen (INQ)
17 Produktsicherheit (PSS)

Die 125 Kriterien gliedern sich dabei in sog. Basiskriterien sowie Zusatzkriterien. Die Basiskriterien beinhalten dabei Anforderungen, die ein Clouddienst erfüllen muss, um den Anforderungen einer sicheren Verarbeitung von Daten mit normalem Schutzbedarf zu gewährleisten.

Sofern Kunden sensible Informationen mit erhöhtem Schutzbedarf in der Cloud verarbeiten wollen, sollte der betreffenden Cloudanbieter darüber hinaus auch die sog. Zusatzkriterien erfüllen, die weiterführenden Maßnahmen zur Gewährleistung der Informationssicherheit seitens des Cloudanbieters erfordern.

Darüber hinaus enthält der Kriterienkatalog umfassende Informationen für den Konformitätsnachweis durch eine unabhängige Prüfung, die idealerweise zu einem C5-Testat führt.

Wer darf eine BSI C5-Testierung durchführen?

Die Prüfungen werden typischerweise von externen IT-Prüfern aus dem Umfeld der Wirtschaftsprüfung durchgeführt. Die eigentliche Ausstellung des Testats erfolgt durch einen Wirtschaftsprüfer.

Wie läuft eine BSI C5-Testierung ab?

Um nicht erst während der C5-Prüfung festzustellen, dass das gewünschte Ergebnis in Form eines positiven C5-Testats nicht realistisch ist, bedarf es beim Cloud-Dienstleister einer sorgfältigen Vorbereitung mit entsprechendem zeitlichem Vorlauf und der Einplanung der Ressourcen für Systemanpassungen sowie dem Aufbau des internen Kontrollsystems.
Grundlegende Voraussetzungen sollten möglichst vorab bereits vor Beauftragung der Prüforganisation gelegt werden, u.a.:

  • Festlegung des Produkt-/DL-Scopes für das Testat
  • Systembeschreibung des Cloudanbieters
  • Interne Vorab-Prüfung bzgl. der Erfüllung der C5-Kriterien
  • Festlegung der anzuwendenden Kriterien (Basiskriterien, Zusatzkriterien, nichtanwendbare Kriterien)
  • Implementierung des internen Kontrollsystems (IKS) mit Zuordnung der Kontrollen zu C5-Kriterien
  • Bestimmung der erforderlichen korrespondierende Kontrollen auf Kundenseite
  • Festlegung der einzubeziehenden Sub-Dienstleister (inklusive oder Carve out-Methode)
  • Aufbau und Beschreibung der C5-relevanten Kontrollen des IKS

Nach der Beauftragung einer geeigneten Prüforganisation (meist in Form eines Wirtschaftsprüfers) beginnt die Phase der intensiven Prüfungstätigkeiten, für die auf Seite des Clouddienstleisters die Verfügbarkeit und die zeitlichen Kapazitäten der erforderlichen Experten eingeplant werden sollte. Im Rahmen der Erstprüfung wird zunächst eine Prüfung nach Typ 1 durchgeführt, bei der der Wirtschaftsprüfer das interne Kontrollsystem bzw. die zur Erfüllung des C5 -Kriterien erforderlichen Kontrollen auf Angemessenheit des Kontrolldesigns bewertet. Die wesentlichen Aufgaben hierbei sind:

  • Prüfung der Erfüllung aller C5-Rahmenbedingungen durch den Clouddienst
  • Prüfung der Abdeckung der C5-Kriterien durch Systemeigenschaften und interne Kontrollen
  • Prüfung des Mappings Kriterien / Kontrollen
  • Prüfung der Angemessenheit der den C5-Kriterien zugeordneten Kontrollen
  • Erstellung Bericht und Testat Typ 1 (z.B. auf Basis IDW PS 951, ISAE 3402)

Nach Festlegung des avisierten Berichtszeitraum kann die Prüfung und Testierung des internen Kontrollsystems für die C5-Kriterien nach Typ 2 avisiert werden. Dies setzt voraus, dass der Clouddienstleister sein internes Kontrollsystem über den gesamten für den Bericht bzw. die Testierung relevanten Berichtszeitraum erfolgreich betrieben hat und die durchgängige Durchführung der internen Kontrollen belegt werden kann. Die Aktivitäten zu Erstellung des -Typ 2-Berichts sind identisch zum Typ 1-Bericht, allerdings wird hier nicht nur das Design bzw. die Angemessenheit der internen, für C5 relevanten Kontrollen geprüft, sondern deren Wirksamkeit über den gesamten Berichtszeitraum.

Fazit

BSI C5 ist der führende Standard für die Umsetzung und Prüfung der Sicherheit von Cloud-Diensten in Deutschland. Der Standard deckt alle wichtigen Aspekte der Cloud-Sicherheit ab und stellt sicher, dass Cloud-Provider angemessene Sicherheitsmaßnahmen umsetzen, um die Daten ihrer Kunden zu schützen. Die Testierung nach BSI C5 bietet Kunden zusätzliche Sicherheit und Vertrauen in den Cloud-Provider und ist daher ein wertvolles Instrument für Cloud-Provider, um ihre Wettbewerbsfähigkeit auf dem deutschen Markt zu erhöhen und neue Kunden zu gewinnen.

/von

Wesentlichkeitsanalyse – der Einstieg in Ihr Nachhaltigkeitsreporting

Notwendigkeit der Wesentlichkeitsanalyse

Mit der kommenden Berichtspflicht gemäß CSRD werden nicht nur bislang bereits nach der NFRD berichtspflichtige Unternehmen einen Nachhaltigkeitsbericht erstellen müssen, sondern auch kleinere Unternehmen, sofern Sie den stufenweise gesenkten Mindestkriterien für die Berichtspflicht entsprechen. Aber auch Unternehmen, die nicht direkt berichtspflichtig sind oder werden, müssen aufgrund der Ausweitung der Berichtspflicht auf die Lieferketten ihren Kunden gegenüber über die Nachhaltigkeit ihrer Geschäftsaktivitäten Auskunft geben können. Die Wesentlichkeitsanalyse ist dabei der Einstieg in die Erstellung eines solchen Nachhaltigkeitsberichts.

Erfahrungsgemäß ist der Aufbau eines Nachhaltigkeitsreportings u.a. stark abhängig von der Art der Geschäftsaktivitäten, der Branchenzugehörigkeit, der Größe des Unternehmens sowie der geografischen Verteilung des Unternehmensstandorte. Je komplexer die Lieferketten und die Produktionsprozesse sind, desto herausfordernder ist es, Transparenz über deren Nachhaltigkeit entlang der Kriterien und Vorgaben des herangezogenen Berichtsstandards herzustellen. Dementsprechend ist es ratsam, mit der Erstellung des Nachhaltigkeitsberichts nicht erst dann zu beginnen, wenn dieser von einem Kunden nachgefragt wird oder im Rahmen des Jahresabschlusses tatsächlich erstellt werden muss, sondern diesen mit ausreichendem Vorlauf zu erstellen.

Die Ersterstellung eines Berichts ist aufgrund der nicht vorhandenen Erfahrung mit der Thematik und den knappen Ressourcen ein größerer Kraftakt, kostet meist mehr Zeit als geplant und resultiert in einer Vielzahl an Erfahrungen und Optimierungsmöglichkeiten. Wenn ein Nachhaltigkeitsbericht externen Interessenten nicht im Rahmen der Ersterstellung vorgelegt werden muss, sondern als Folgebericht, können die bisherigen Erfahrungen sowie Verbesserungspotenziale bereits im Reporting berücksichtigt werden. Insofern sollte mit dem Einstieg in den Aufbau des eigenen Nachhaltigkeitsreportings nicht gewartet werden, sondern das Thema mit ausreichendem Vorlauf initiiert werden.

Als Einstieg in die Erstellung eines  Nachhaltigkeitsberichts ist die Ermittlung der für das eigene Unternehmen tatsächlich relevanten und wichtigen Nachhaltigkeitsthemen und Fragestellungen durch die sogenannte Wesentlichkeitsanalyse erforderlich. Diese legt die Grundlage für die Berichterstattung  und hat gemäß CSRD verpflichtenden Charakter.

Doppelte Wesentlichkeit

Die Wesentlichkeitsanalyse gemäß CSRD umfasst – anders als bei den bisher gültigen gesetzlichen Vorgaben – die sogenannte Doppelte Wesentlichkeit und beinhaltet damit zwei unterschiedliche Perspektiven auf die Nachhaltigkeit der Geschäftsaktivitäten:

  • Outside-In:  Auswirkungen von (Umfeld-bezogenen) Nachhaltigkeitsthemen auf das Unternehmen (Financial materiality)
  • Inside-Out: Auswirkung der Geschäftsaktivitäten auf das Unternehmens-externe Umfeld (Impact materiality)

Bei der Bewertung und Risikobetrachtung sind dabei sowohl vergangenheitsbezogene Informationen und Entwicklungen, als auch zukunftsorientierte Auswirkungen zu berücksichtigen, die anhand von erwarteten Entwicklungen, Prognosen oder Wahrscheinlichkeiten bewertet werden.

Stakeholder-Relevanz

Gemäß CSRD soll die Berichterstattung zur Nachhaltigkeit alle wesentlichen Informationen enthalten, die für Stakeholder des Unternehmens bedeutend sind und Einfluss auf deren Entscheidungen haben.  Stakeholder können somit zum einen alle Personen oder Gruppen sein, welche durch die Unternehmensaktivitäten betroffen sind oder potenziell beeinflusst werden können.

Zum anderen sind Stakeholder aber auch alle Interessenten der Nachhaltigkeitsberichterstattung, deren eigenen Verhaltensentscheidungen und Aktivitäten von dieser abhängen, wie z.B. Investoren, Geschäftspartner, Kunden, Verbände, etc. Insofern ist es im Rahmen der Wesentlichkeitsanalyse erforderlich, die wesentlichen Themen nicht nur aus dem eigenen unternehmensinternen Blickwickel zu identifizieren, sondern auch die aus Perspektive aller externen Stakeholder.

Beweislastumkehr

Anders als in den bisherigen gesetzlichen Vorgaben, sind im Rahmen der Wesentlichkeitsanalyse der CSRD nicht die wesentlichen Themen zusammenzutragen bzw. zu identifizieren und herauszukristallisieren, sondern es wird vom Gesetzesgeber davon ausgegangen, dass alle der CSRD zugrundeliegende und in den ESRS-Standards definierten Nachhaltigkeitsaspekte per se wesentlich sind.

Jedes Unternehmen muss dann im Rahmen der Wesentlichkeitsanalyse nachvollziehbar begründen, warum einzelne Nachhaltigkeitsaspekte möglichweise nicht relevant, und somit im Nachhaltigkeitsreporting nicht enthalten sind.

Dokumentation der Wesentlichkeitsanalyse

Im Rahmen des Nachhaltigkeitsberichts sind vom berichtenden Unternehmen alle Teile der Wesentlichkeitsanalyse nachvollziehbar zu dokumentieren. Dabei sind nicht nur die Ergebnisse des Analyseprozesses zu beschreiben, welche Nachhaltigkeitsthemen als unwesentlich, und welche ggf. unternehmensspezifisch als zusätzlich relevant eingestuft werden.  Es ist auch nachvollziehbar zu dokumentieren, nach welcher Methodik vorgegangen wurde, und wie und warum das Unternehmen die unwesentlichen Themen vom Gesamt-Set aller Nachhaltigkeitsthemen herausgenommen hat.

3 Schritte zur Erstellung einer Wesentlichkeitsanalyse?

1. Umfeldanalyse

Vor der Durchführung der eigentliche Wesentlichkeitsanalyse sollte für alle Beteiligten im Hinblick auf Nachhaltigkeit der Geschäftsaktivitäten Klarheit über die Unternehmensumfeld und die grundlegenden Rahmenbedingungen geschaffen werden. Folgende Aspekte sollten im Rahmen der Umfeldanalyse dabei diskutiert und als Input für den späteren Nachhaltigkeitsbericht sauber dokumentiert werden: 

  • Unternehmensumfeld, Branchenspezifika, Wettbewerbsumfeld
  • Relevante gesellschaftliche und technologische Trends und Entwicklungen
  • Regulatorische und gesetzliche Vorgaben
  • Aktuelle Risiken und Chancen

2. Stakeholderanalyse

Als zweiter wichtiger Schritt muss die sogenannte Stakeholder-Analyse durchgeführt, bei der alle relevanten, unternehmensinternen als auch -externen betroffenen oder interessierte Personen oder Gruppen identifiziert werden müssen. Beispiele für Stakeholder sind:

  • Interne Stakeholder: Mitarbeiter, Management, Betriebsrat, Gremien
  • Externe Stakeholder: Kunden, Lieferanten, Shareholder, Medien, Behörden, Verbände, etc.

3. Wesentlichkeitsanalyse

Mit den identifizierten Stakeholdern, oder – falls diese nicht direkt einbezogen werden können – mit dem Blickwinkel dieser Stakeholder auf die Nachhaltigkeitsthemen des Unternehmens wird nachfolgend die eigentliche Wesentlichkeitsanalyse durchgeführt. Hierbei sind insbesondere folgende Schritte durchzuführen:

  • Bewertung und Einstufung der Wesentlichkeit aller Nachhaltigkeitsthemen der ESRS-Standards
  • Kennzeichnung der für das Unternehmen als nicht wesentlich identifizierten Themen unter Berücksichtigung der doppelten Wesentlichkeit (inside out / outside in)
  • Aufnahme und Dokumentation der Begründung zur Gewährleistung der Nachvollziehbarkeit

Nachhaltigkeitsreporting

Die bis dahin erarbeiteten Ergebnisse der Umfeldanalyse, der Stakeholderanalyse sowie der eigentlichen Wesentlichkeitsanalyse legen die Basis für die weitere Erstellung des Nachhaltigkeitsreportings. Die wesentlichen Eckpunkte und Arbeitspakete sind dabei:   

  • Festlegung der Leitlinien, Managementsysteme, Verantwortlichkeiten
  • Beschreibung des aktuellen Ist-Zustands und Aktivitäten für die als wesentlich identifizierten Nachhaltigkeitsthemen
  • Festlegung der Zielsetzung und konkrete Maßnahmenplanung
  • Definition von Nachhaltigkeits-KPIs, Kennziffern und Indikatoren für die kontinuierliche Erhebung der Nachhaltigkeitsaktivitäten und Maßnahmen
  • Implementierung der erforderlichen Erhebungs- und Berichts-Prozesse für regelmäßige Updates des Nachhaltigkeitsberichts
  • Erstmalige Erstellung des Nachhaltigkeitsbericht bzw. jährliche Aktualisierung

Unabhängig davon, ob das eigene Unternehmen in den kommenden Jahren der Berichtspflicht unterliegt, wird früher oder später jedes Unternehmen einen Bericht zur Nachhaltigkeit erstellen müssen, der den Ansprüchen der eigenen Anspruchsgruppen (Kunden, Lieferanten, Investoren, Öffentlichkeit, etc.) entsprechen sollte. Die Wesentlichkeitsanalyse mit der ihr vorgelagerten Stakeholder-Analyse legt den Grundstein für die Erstellung des Nachhaltigkeitsreportings.

Unsere iAP-Berater verfügen über eine langjährige Erfahrung in diesem Umfeld. Wir unterstützen Sie bei der Bewältigung ihrer Herausforderungen zum Thema Nachhaltigkeit – von der Wesentlichkeitsanalyse bis zum Nachhaltigkeitsreporting – gemäß den gesetzlichen Vorgaben.

Nehmen Sie gern mit uns Kontakt auf!

Foto: istockphoto/Petmal

/von

Handelsregisterverordnung den Vorgaben der DSGVO angepasst

Die Handelsregisterverordnung (HRV) wurde zum 23.12.2022 durch das Bundesjustizministerium angepasst. Das Ziel ist, personenbezogenen Daten im digitalen Handelsregister einen besseren Schutz zu geben.

Bisher ließen sich seit dem 01.08.2022 sämtliche Einträge im Handels-, Genossenschafts-, Partnerschafts- und Vereinsregister per Webformular abrufen. Damit waren Dokumente zugänglich, die oft sensible persönliche Daten wie Adresse, Geburtsdaten, Bankverbindung oder auch Unterschriften enthielten. Diese Lücke im Datenschutz entstand durch eine Gesetzesänderung zur Umsetzung der EU-Digitalisierungsrichtlinie. Betreiber des Handelsregisterportals sind die einzelnen Bundesländer und das ist der einzige Bereich, in dem das Bundesjustizministerium selbst als Verordnungsgeber tätig werden kann.

Kritik der Datenschützer am Schutz der Informationen in dem Online-Verzeichnis führte zu Änderungen in der Handelsregisterverordnung. § 9 HRV beinhaltet jetzt, dass nur Unterlagen aufgenommen werden, die aufgrund besonderer Rechtsvorschriften zwingend einzureichen seien, also beispielsweise keine Ausweiskopien. Gleichzeitig wird klargestellt, dass Erbscheine, Erbverträge, öffentliche Testamente und andere nach § 12 Abs. 1 Satz 5 HGB hinterlegte Urkunden nicht in das Register aufgenommen werden sollen. Ebenfalls wurde in dem neuen Absatz 7 § 9 HRV die Möglichkeit des Austausches von Dokumenten geregelt. Damit kann der Betroffene ein neues Dokument ohne die fraglichen Inhalte einreichen und geben das alte Dokument austauschen.

Fazit: Der Prozess ist noch nicht abgeschlossen. Das Bundesministerium der Justiz, die Justizbehörden der Länder und die Bundesnotarkammer arbeiten weiterführend daran, technische Lösungen zur datenschutzrechtlichen Bearbeitung von bereits eingestellten Daten zu finden.

Foto: istockphoto/fotogestoeber

/von